Bug d’Okta : sécurité de connexion contournée pendant un mois

Fiabilité
À RETENIR

  • Okta a découvert une faille dans l'authentification déléguée AD/LDAP, qui permettait la connexion avec le seul nom d'utilisateur s'il comportait + de 52 caractères.
  • Le problème s'est produit entre le 23 juillet et le 30 octobre 2024, mais a été corrigé dans la production d'Okta en passant à PBKDF2.
  • Les clients affectés sont invités à examiner les journaux système pour détecter d'éventuelles exploitations pendant cette période.

Une faille dans Okta a permis l’accès sans mot de passe si l’identifiant faisait plus de 52 caractères.

Le 30 octobre 2024, Okta a identifié une faille de sécurité dans le système d’authentification déléguée AD/LDAP (DelAuth), affectant les comptes avec des noms d’utilisateur de 52 caractères ou plus.

Signalée en interne, cette faille, apparue en juillet 2024 a permis, dans certaines conditions telles qu’un trafic élevé ou une panne d’argent, une authentification en utilisant uniquement le nom d’utilisateur sans mot de passe.

Identifiant sans mot de passe

Le problème provenait de la génération de clés de cache d’Okta, où l’algorithme Bcrypt hashait une combinaison de userID + nom d’utilisateur + mot de passe.

Cette configuration a permis un accès potentiel aux comptes avec des noms d’utilisateur plus longs en raison de la rétention des clés de cache des connexions précédentes réussies.

Dans son post, Okta a mentionné avoir résolu le problème en passant au processus de “hashage” utilisant l’algorithme cryptographique PBKDF2.

La faille a impacté l’authentification déléguée AD/LDAP d’Okta pour les utilisateurs répondant à des conditions spécifiques.

Pour l’exploiter, les noms d’utilisateur devaient dépasser 52 caractères, et les demandes d’authentification devaient atteindre une clé mise en cache des sessions précédentes, sans facteurs d’authentification supplémentaires requis.

Okta a conseillé aux clients de vérifier les journaux système entre le 23 juillet et le 30 octobre 2024 pour identifier une potentielle utilisation abusive de cette faille.

En outre, l’entreprise recommande aux clients présentant des configurations à fort trafic ou des politiques d’authentification sans mesures de sécurité supplémentaires, comme l’authentification multifacteur (MFA) – une des fonctionnalités phares des gestionnaires de mots de passe -, de revoir leurs configurations et journaux système.

Ces configurations pourraient être plus susceptibles aux exploitations de cette faille.

Okta vise plus de sécurité après la détection de plusieurs failles

Dans ses derniers rapports, Okta met l’accent sur les mesures pour renforcer la sécurité.

Bien que la MFA puisse atténuer les risques, la résolution d’Okta assure que les clés en cache sont désormais mieux protégées contre les exploitations potentielles.

Les clients reçoivent maintenant des notifications plus détaillées sur les mises à jour des avis et les mesures de résolution.

Ce n’est pas la première faille à laquelle Okta fait face dernièrement. Plus tôt dans l’année, l’entreprise a fait face à une fuite de données de ses systèmes.

L’année dernière, Okta avait subi une autre attaque, entraînant un réexamen de tous ses clients

Termes connexes

Articles Liés

Vincent Grethen
Responsable d'édition

Diplômé de l'Ecole de Journalisme de Louvain La Neuve en Belgique, c'est finalement le monde du contenu en ligne qui m'a permis d'assouvir ma passion pour l'écriture. Depuis plus de 10 ans, j'explore divers secteurs, notamment le bien-être, le médical ou encore le tourisme. Cette polyvalence est mon atout majeur pour capter l'attention des lecteurs et des lectrices. Aujourd'hui, ma plume évolue au rythme des innovations, au service des passionnés de technologie, toujours avec le même plaisir de jouer avec les mots.